Gdzie zgłaszane są incydenty sudo? [Zamknięte]

133

Próba wykonania czegoś podstępnego na mojej maszynie prowadzi do

ryan@debian:~$ sudo EAT_ALL_THE_COOKIES_BEFORE_DINNER
[sudo] password for ryan: 
ryan is not in the sudoers file.  This incident will be reported.

Gdzie jest zgłaszany ten incydent i jak uzyskać dziennik wszystkich nieprzyjemnych prób komend?

user1717828
źródło

Odpowiedzi:

198

Nieważne, właśnie znalazłem odpowiedź w tekście alternatywnym na xkcd :

xkcd838

Zastąp rootswoją nazwą użytkownika, w moim przypadku ryan, aby dziennik zawierał:

cat /var/spool/mail/ryan
user1717828
źródło
6
Czy nie powinno tak być, rootchyba że jest jakiś zestaw przekazywania? Chodzi o to, aby wiadomość e-mail została wysłana do administratora. Oczywiście, po ustawieniu przekazywania możesz pobrać plik buforowania, ale możesz również użyć klienta pocztowego, takiego jak poczta, gwóźdź lub coś innego, co obsługuje czytanie z lokalnej kolejki (powiedziałbym, że jest to zwykle przypadek z wyjątkiem być może klientów GUI „importowanych” ze świata Windows).
njsg,
13
Nie ma nic w /var/spool/maildystrybucjach używających systemd (Archlinux w moim przypadku). W takim przypadku możesz znaleźć ten raport w dzienniku za pomocą journalctlpolecenia. (@shellter - z powodu zamkniętego tematu - nie zgadzam się - musiałem zamieścić komentarz, nie kolejną poprawną odpowiedź)
dmnc
2
@dmnc Mogę to potwierdzić, journalctlpolecenie do tego jest sudo journalctl /bin/sudo.
simonzack
16
Wiem, że jest to oznaczone jako „debian”, ale przyszedłem szukać Ubuntu. Z korzyścią dla innych, którzy szukają dziennika wyjściowego Ubuntu, znalazłem awarie sudo w:/var/log/auth.log
CJBS
Dokładniej, aby zobaczyć tylko awarie sudo w użyciu Ubuntu cat /var/log/auth.log | grep sudoers.
akshayk07
34

Raport jest wysyłany jako e-mail do rootużytkownika. Wiele dystrybucji Linuksa automatycznie konfiguruje alias dla tego użytkownika, kierując pocztę na pierwsze konto utworzone podczas procesu instalacji.

qqx
źródło